Cuidado: Falsas Atualizações de Navegador Entregam Malware BitRAT e Lumma Stealer – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Atualmente, atualizações falsas de navegadores da web estão sendo usadas para distribuir cavalos de Troia de acesso remoto (RATs) e malwares roubadores de informações, como BitRAT e Lumma Stealer (também conhecido como LummaC2).

As atualizações falsas de navegadores são responsáveis por diversas infecções por malware, incluindo as do conhecido malware SocGholish, afirmou a empresa de cibersegurança eSentire em um novo relatório. Em abril de 2024, FakeBat foi distribuído por mecanismos semelhantes de atualização falsa.

O ataque começa quando possíveis alvos visitam um site armadilha que contém código JavaScript projetado para redirecionar os usuários para uma página de atualização de navegador falsa. A página redirecionada contém um link de download para um arquivo ZIP hospedado no Discord e baixado automaticamente para o dispositivo da vítima.

É importante destacar que os cibercriminosos muitas vezes usam o Discord como vetor de ataque, com uma análise recente da Bitdefender descobrindo mais de 50.000 links perigosos distribuindo malware, campanhas de phishing e spam nos últimos seis meses.

Dentro do arquivo ZIP está outro arquivo JavaScript, que aciona a execução de scripts PowerShell responsáveis por obter cargas adicionais, incluindo BitRAT e Lumma Stealer, de um servidor remoto na forma de arquivos de imagem PNG.

Também são obtidos dessa maneira scripts PowerShell para estabelecer persistência e um carregador .NET que é principalmente usado para lançar o malware da última etapa. A eSentire postulou que o carregador provavelmente é anunciado como um “serviço de entrega de malware” devido ao fato de que é usado para implantar tanto o BitRAT quanto o Lumma Stealer.

BitRAT é um RAT rico em recursos que permite que os atacantes obtenham dados, minerem criptomoedas, baixem binários adicionais e controlem remotamente os hosts infectados. Lumma Stealer, um malware roubador de informações disponível por US$ 250 a US$ 1.000 por mês desde agosto de 2022, oferece a capacidade de capturar informações de navegadores da web, carteiras de criptomoedas e outros detalhes sensíveis.

“A isca de atualização falsa do navegador se tornou comum entre os atacantes como um meio de entrada em um dispositivo ou rede”, disse a empresa, acrescentando que isso “demonstra a capacidade do operador de alavancar nomes confiáveis para maximizar o alcance e o impacto”.

Embora esses ataques geralmente usem downloads drive-by e técnicas de malvertising, a ReliaQuest, em um relatório publicado na semana passada, disse ter descoberto uma nova variante da campanha ClearFake que engana os usuários a copiar, colar e executar manualmente código PowerShell malicioso sob o pretexto de uma atualização de navegador.

Especificamente, o site malicioso alega que “algo deu errado ao exibir esta página da web” e instrui o visitante do site a instalar um certificado raiz para corrigir o problema seguindo uma série de etapas, que envolve copiar código PowerShell obfuscado e executá-lo em um terminal PowerShell.

Ao executar, o código PowerShell realiza diversas funções, incluindo limpar o cache DNS, exibir uma caixa de mensagem, baixar mais código PowerShell e instalar o malware LummaC2.

Conforme informações compartilhadas pela empresa de cibersegurança, Lumma Stealer emergiu como um dos roubadores de informações mais prevalentes em 2023, ao lado do RedLine e Raccoon.

“A quantidade de logs obtidos do LummaC2 listados para venda aumentou 110% do terceiro para o quarto trimestre de 2023”, observaram. “A crescente popularidade do LummaC2 entre os adversários se deve provavelmente à sua alta taxa de sucesso, que se refere à sua eficácia em infiltrar sistemas com sucesso e exfiltrar dados sensíveis sem detecção.”

Esses desenvolvimentos ocorrem após o Centro de Inteligência de Segurança da AhnLab divulgar detalhes de uma nova campanha que usa webhards como um canal para distribuir instaladores maliciosos de jogos para adultos e versões crackeadas do Microsoft Office e, por fim, implantar diversos malwares, como o Orcus RAT, minerador XMRig, 3proxy e XWorm.

Cadeias de ataque semelhantes envolvendo sites que oferecem software pirata têm levado à implantação de carregadores de malwares como PrivateLoader e TaskLoader, que são oferecidos como serviço de pagamento por instalação (PPI) para que outros cibercriminosos entreguem suas próprias cargas.

Também seguem novas descobertas da Silent Push sobre o uso “quase exclusivo” do CryptoChameleon dos servidores de nomes da DNSPod.com para apoiar sua arquitetura de kit de phishing. A DNSPod, parte da empresa chinesa Tencent, tem um histórico de fornecer serviços para operadores maliciosos de hospedagem à prova de falhas.

“O CryptoChameleon usa servidores de nomes da DNSPod para se envolver em técnicas de evasão de fluxo rápido que permitem que os atores de ameaças passem rapidamente por uma grande quantidade de IPs vinculados a um único nome de domínio”, disse a empresa.

“A evasão de fluxo rápido permite à infraestrutura do CryptoChameleon evadir contramedidas tradicionais e reduz significativamente o valor operacional de IOCs do ponto no tempo” usando pelo menos sete contas primárias de mídia social e uma rede CIB de mais de 250 contas.

Você também pode gostar

Deputados dos EUA pedem ao Departamento de Justiça para parar de financiar cegamente ferramentas policiais ‘preditivas’

Mitre Apresenta Emb3d: Um Framework de Modelagem de Ameaça para Dispositivos Embarcados

Ebury Botnet Malware Compromete 400.000 Servidores Linux ao longo de 14 Anos